Frontpage Service Passwort

Aufgrund eines Weblogeintrages eines Freundes, dessen Kreditkartendaten missbraucht wurden, bin ich auf die Idee gekommen, zu testen, ob die uralten “Google Hacks” noch funktionieren. Die Suche nach Kreditkartendaten liefert mittlerweile ein 403-Fehler, aber das abgefahrenste, die Passwörter für Frontpageseiten, funktioniert noch.

http://www.google.com/search?hl=en&lr=&ie=UTF-8&c2coff=1&q=%22%23+-FrontPage-%22+inurl%3Aservice.pwd

Dieser Link dient nur als “Proof of Concept”, und soll nicht zu illegalen Handlungen aufrufen!! Wer damit Schindluder treibt, macht sich strafbar.

Und bitte kein Microsoft-Verteufelungen in den Kommentaren. Ähnliche Sicherheits-Stilblüten gab es damals auch bei anderen Systemen (eben bei Onlineshops, die Kreditkartendaten in Plaintext-Dateien gespeichert haben). Und mittlerweile ist die Lücke längst geschlossen; bei den gefundenen Seiten handelt es sich demnach um völlig veraltete Frontpage-Versionen.

Ein weiteres Beispiel: http://www.google.com/search?hl=en&lr=&ie=UTF-8&c2coff=1&q=intitle%3A%22Index+of%22+config.php
Hier wurde der Webserver falsch konfiguriert.

26. Mai 2009 | Technik | Kommentare (0)


  • Letzte Tweets